Politique de confidentialité.

Pour les données du compte utilisateur (votre email, votre entreprise, votre mot de passe), Solis agit en qualité de responsable de traitement.

Pour les données que vous saisissez sur vos propres clients (raison sociale, email, factures), vous êtes responsable de traitement et Solis est sous-traitantau sens de l'art. 28 RGPD.

Contact : rgpd@noovate.fr

Nous collectons les catégories de données suivantes :

• Compte — email, prénom, nom, mot de passe (hashé PBKDF2-SHA256), rôle.
• Entreprise — raison sociale, SIRET, adresse, IBAN, BIC.
• Clients et fournisseurs B2B — raison sociale, SIRET, email, téléphone, adresse.
• Documents — devis, factures, avoirs et leurs lignes.
• Paiements — montants, dates, mode, référence Stripe.
• Logs techniques — adresse IP, horodatage, action effectuée (audit légal).

Aucune donnée sensible (santé, biométrie, opinions politiques) n'est collectée.

• Authentification — exécution du contrat (art. 6.1.b RGPD).
• Émission de devis et factures — exécution du contrat.
• Conservation des factures — obligation légale (art. L123-22 Code de commerce, 10 ans).
• OCR et suggestions IA— exécution du contrat ; les images sont envoyées à Anthropic (Claude) avec l'option « no training on your data » activée.
• Logs d'audit — obligation légale (piste d'audit fiable, art. L102 B LPF).
• Suivi d'erreurs (Sentry) — intérêt légitime, sans envoi de PII.

• Compte actif — durée de l'abonnement.
• Compte désactivé — 30 jours puis anonymisation, sauf factures.
• Factures émises — 10 ans (art. L123-22 Code de commerce).
• Devis non convertis — 5 ans (art. L110-4 Code de commerce).
• Logs d'audit — 6 ans (art. L102 B LPF).
• Logs Sentry — 90 jours.
• Backups chiffrés — 30 jours glissants.

Nous faisons appel à des sous-traitants situés dans l'Union européenne (sauf mention contraire) :

• Scaleway (France) — hébergement application.
• Neon (Allemagne) — base de données.
• Stripe (Irlande) — paiements abonnement.
• Sentry (Allemagne) — suivi d'erreurs (PII filtrés).
• Anthropic(États-Unis) — OCR et assistant IA, avec clauses contractuelles types et option d'exclusion de l'entraînement.

Tous nos sous-traitants sont liés par un Data Processing Agreement (DPA) conforme à l'art. 28 RGPD.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Droit d'accès et de portabilité — bouton « Télécharger mes données » dans Paramètres → RGPD, qui exporte un JSON complet.
• Droit de rectification — édition directe dans l'application.
• Droit à l'effacement — bouton « Anonymiser (RGPD) » sur la fiche client. Les factures liées sont conservées 10 ans (obligation légale) mais leurs données personnelles sont vidées.
• Droit à la limitation — désactivation du client.
• Droit d'opposition — par email à rgpd@noovate.fr.
• Droit d'introduire une réclamation auprès de la CNIL.

Notre engagement : réponse sous un (1) mois maximum, conformément à l'art. 12.3 RGPD.

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes (art. 32 RGPD) :

• HTTPS obligatoire (HSTS activé).
• JWT à durée de vie courte (15 minutes en accès, 7 jours en refresh).
• Hash PBKDF2-SHA256 sur les mots de passe.
• Rate-limiting sur les endpoints publics.
• Signature HMAC-SHA256 sur les factures émises (intégrité).
• Isolation des données par entreprise (multi-tenant strict, vérifié par tests).
• Logs d'audit immuables.
• Backups chiffrés avec restauration testée périodiquement.

Le Service utilise uniquement des cookies strictement nécessairesà son fonctionnement (session JWT, préférence d'affichage). Aucun cookie publicitaire ni de mesure d'audience tiers n'est déposé. Aucun consentement n'est donc requis (art. 82 LIL, exception art. 5.3 ePrivacy).

En cas de violation de données présentant un risque pour les droits et libertés des personnes concernées, nous procéderons à la notification de la CNIL sous 72 heures et, si le risque est élevé, à l'information directe des utilisateurs concernés sans délai (art. 33 et 34 RGPD).

Cette politique peut être mise à jour. La version en vigueur est toujours celle accessible à l'adresse /confidentialite. Les modifications substantielles vous seront notifiées par email.